Denial-of-service-aanvallen met een hoge bandbreedte komen vaker voor, beveiligingsbedrijf zegt

Gedistribueerde Denial-of-Service (DDoS) -aanvallen met een gemiddelde bandbreedte van meer dan 20 Gbps zijn dit jaar gemeengoed geworden, volgens onderzoekers van DDoS mitigation vendor Prolexic.

Dit is belangrijk omdat maar heel weinig bedrijven of organisaties over de nodige netwerkinfrastructuur beschikken om dergelijke aanvallen aan te kunnen. Er zijn misschien bedrijven met populaire websites zoals Google of Facebook die dergelijke overstromingen met hoge bandbreedte aankunnen, maar de meeste bedrijven zijn volgens Stuart Scholly niet de president van Prolexic.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Prolexic is van plan de capaciteit van zijn eigen cloudgebaseerde DDoS-beperking te upgraden infrastructuur om het toenemende volume aan aanvallen met hoge bandbreedte bij te houden, zei hij.

Het bedrijf bracht zijn wereldwijde DDoS-aanslagrapport voor het derde kwartaal van 2012 op woensdag uit. Volgens het rapport is het totale aantal aanvallen met 88 procent toegenomen ten opzichte van dezelfde periode vorig jaar. In vergelijking met het tweede kwartaal van 2012 daalde het aantal aanvallen echter met 14 procent.

De gemiddelde aanvalsbandbreedte in het derde kwartaal van 2012 was 4,9 Gbps, wat een stijging van 230 procent betekent ten opzichte van een jaar eerder, en een stijging van 11 procent in vergelijking met het vorige kwartaal.

De gemiddelde aanvalsduur in het derde kwartaal van dit jaar was 19 uur, iets langer dan in het tweede kwartaal.

De meerderheid van de aanvallen - meer dan 81 procent - gericht op de infrastructuurlaag, terwijl 18,6% van de aanvallen zich richtte op de applicatielaag, protocollen die door specifieke toepassingen worden gebruikt.

De top drie van landen waar DDoS-aanvallen hun oorsprong vonden, waren China met 35 procent van de aanvallen, de VS met 28 procent en India met 8 %.

In het geval van DDoS-aanvallen met hoge bandbreedte is een verandering in aanvalstactieken waargenomen, zei Scholly. In plaats van botnets van gecompromitteerde pc's te gebruiken, worden dergelijke aanvallen gestart vanuit botnets van gecompromitteerde servers. De aanvallers krijgen toegang tot dergelijke servers door misbruik te maken van kwetsbaarheden in verouderde webtoepassingen en op PHP gebaseerde DDoS-toolkits te installeren.

Toolkits verkocht

Eén toolkit die recentelijk werd gebruikt om aanvallen met hoge bandbreedte uit te voeren tegen meerdere financiële instellingen in de Verenigde Staten Staten, evenals bedrijven uit andere industriële sectoren, staat bekend als "itsoknoproblembro."

Het is niet duidelijk of deze toolkit op de ondergrondse markt wordt verkocht, maar er zijn aanwijzingen dat deze toolkit voortdurend wordt verbeterd en door meerdere groepen wordt gebruikt. aanvallers, zei Scholly. Aanvallers hebben geen administratieve (root) toegang tot een gecompromitteerde server nodig om de toolkit te installeren en er aanvallen mee te starten.

"Itsoknoproblembro" stelt aanvallers in staat sneller te reageren op eventuele verdedigingen die ze kunnen tegenkomen en hun aanval aan te passen strategie. Dat komt omdat ze bijna onmiddellijk commando's kunnen sturen naar servers die zijn geïnfecteerd met de toolkit, terwijl ze in het geval van traditionele botnets moeten wachten tot de bot-clients regelmatig nieuwe instructies van een opdracht- en besturingsserver ophalen.

Opruimingsinspanningen voor infecties met "itsoknoproblembro" zijn moeilijk vanwege verouderde applicaties en onervaren serverbeheerders, zei Prolexic in zijn rapport. Het bedrijf is van plan een openbaar advies uit te brengen met vingerafdrukken van handtekeningen voor DDoS-aanvalsvarianten die worden ondersteund door de toolkit "itsoknoproblembro" waarmee anderen dergelijke aanvallen kunnen detecteren en beperken.